Alertas de seguridad del microagente
Defender para IoT analiza continuamente la solución de IoT mediante análisis avanzados e inteligencia de amenazas para alertarle de cualquier actividad malintencionada. Además, puede crear alertas personalizadas según su conocimiento del comportamiento esperado del dispositivo. Una alerta sirve como indicador de un posible peligro, y debe investigarse y corregirse.
Nota:
Defender para IoT planea retirar el microagente el 1 de agosto de 2025.
En este artículo encontrará una lista de alertas integradas que pueden activarse en dispositivos IoT.
Alertas de seguridad
Gravedad alta
| Nombre | severity | Origen de datos | Descripción | Pasos de la corrección sugerida | Tipo de alerta |
|---|---|---|---|---|---|
| Binary Command Line (Línea de comandos de binario) | Alto | Defender-IoT-micro-agent | Se detectó una llamada a un binario de LA Linux o la ejecución de dicho binario desde la línea de comandos. Este proceso puede ser una actividad permitida o un indicio de que el dispositivo está en peligro. | Revise el comando con el usuario que lo ejecutó y compruebe si es algo que se espera que se ejecute de forma legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_BinaryCommandLine |
| Disable firewall (Deshabilitar firewall) | Alto | Defender-IoT-micro-agent | Se ha detectado una posible manipulación del firewall de host. Los actores malintencionados suelen deshabilitar el firewall en el host para intentar el filtrado de datos. | Revise con el usuario que ejecutó el comando para confirmar si se trataba de una actividad legítima esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_DisableFirewall |
| Port forwarding detection (Detección de enrutamiento de puerto) | Alto | Defender-IoT-micro-agent | Se ha detectado la iniciación de un enrutamiento de puerto a una dirección IP externa. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_PortForwarding |
| Possible attempt to disable Auditd logging detected (Detección de posible intento de deshabilitar el registro de Auditd) | Alto | Defender-IoT-micro-agent | El sistema Linux Auditd proporciona una manera de hacer un seguimiento de información relacionada con la seguridad en el sistema. El sistema registra tanta información como sea posible sobre los eventos que se producen en el sistema. Esta información es fundamental para que los entornos de misión crítica puedan descubrir al infractor de la directiva de seguridad y las acciones que ha llevado a cabo. Si deshabilita los registros de Auditd puede impedir la capacidad de detectar infracciones de las directivas de seguridad usadas en el sistema. | Compruebe con el propietario del dispositivo si se trataba de una actividad legítima con razones empresariales. Si no es así, es posible que este evento esté ocultando la actividad de actores malintencionados. Escale inmediatamente el incidente al equipo de seguridad de la información. | IoT_DisableAuditdLogging |
| Reverse shells (Shells inversos) | Alto | Defender-IoT-micro-agent | Un análisis de los datos del host en un dispositivo detectó el uso de un shell inverso posible. Los shells inversos se suelen usar para obtener una máquina en peligro para volver a llamar a una máquina controlada por un actor malintencionado. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ReverseShell |
| Successful local login (Inicio de sesión local correcto) | Alto | Defender-IoT-micro-agent | Se ha detectado un inicio de sesión local correcto en el dispositivo. | Asegúrese de que el usuario que ha iniciado sesión es una entidad autorizada. | IoT_SucessfulLocalLogin |
| Web shell (Shell web) | Alto | Defender-IoT-micro-agent | Se ha detectado un posible shell web. Normalmente, los actores malintencionados cargan un shell web en una máquina en peligro para obtener persistencia o para aprovechar mejor sus puntos vulnerables. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_WebShell |
| Behavior similar to ransomware detected (Detección de comportamiento similar a ransomware) | Alto | Defender-IoT-micro-agent | Ejecución de archivos similares a ransomware conocido que puede impedir que los usuarios accedan al sistema o a archivos personales, y puede solicitar el pago de un rescate para recuperar el acceso. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_Ransomware |
| Crypto coin miner image (Imagen de minería de criptomoneda) | Alto | Defender-IoT-micro-agent | Se detectó la ejecución de un proceso que normalmente se asocia con la minería de datos de monedas digitales. | Verifique con el usuario que ejecutó el comando si se trataba de una actividad legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_CryptoMiner |
| Nueva conexión USB | Alto | Defender-IoT-micro-agent | Se detectó una conexión de dispositivo USB. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_USBConnection |
| Desconexión de USB | Alto | Defender-IoT-micro-agent | Se detectó una desconexión de dispositivos USB. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_UsbDisconnection |
| Nueva conexión de Ethernet | Alto | Defender-IoT-micro-agent | Se detectó una nueva conexión de Ethernet. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_EthernetConnection |
| Desconexión de Ethernet | Alto | Defender-IoT-micro-agent | Se detectó una nueva desconexión de Ethernet. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_EthernetDisconnection |
| Nuevo archivo creado | Alto | Defender-IoT-micro-agent | Se detectó un nuevo archivo. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FileCreated |
| Archivo modificado | Alto | Defender-IoT-micro-agent | Se ha detectado una modificación en el archivo. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FileModified |
| Archivo eliminado | Alto | Defender-IoT-micro-agent | Se ha detectado una eliminación de archivos. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FileDeleted |
Gravedad media
| Nombre | severity | Origen de datos | Descripción | Pasos de la corrección sugerida | Tipo de alerta |
|---|---|---|---|---|---|
| Behavior similar to common Linux bots detected (Detección de comportamiento similar a bots comunes de Linux) | Media | Defender-IoT-micro-agent | Se ha detectado la ejecución de un proceso que normalmente se asocia con botnets comunes de Linux. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_CommonBots |
| Behavior similar to Fairware ransomware detected (Detección de comportamiento similar a ransomware Fairware) | Media | Defender-IoT-micro-agent | Se detectó la ejecución de comandos rm -rf aplicados a ubicaciones sospechosas mediante el análisis de los datos del host. Dado que rm -rf elimina archivos de manera recursiva, normalmente solo se usa en carpetas independientes. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. El ransomware Fairware es conocido por ejecutar comandos de rm -rf en esta carpeta. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FairwareMalware |
| Crypto coin miner container image detected (Se ha detectado una imagen de contenedor de minería de criptomoneda) | Media | Defender-IoT-micro-agent | Contenedor que detecta la ejecución de imágenes de minería de moneda digital conocidas. | 1. Si este comportamiento no es el previsto, elimine la imagen de contenedor pertinente. 2. Asegúrese de que el demonio de Docker no es accesible a través de un socket TCP no seguro. 3. Escale la alerta al equipo de seguridad de la información. |
IoT_CryptoMinerContainer |
| Detected suspicious use of the nohup command (Detección de uso sospechoso del comando nohup) | Media | Defender-IoT-micro-agent | Se ha detectado el uso sospechoso del comando nohup en el host. Los actores malintencionados suelen ejecutar el comando nohup desde un directorio temporal, lo que permite que sus ejecutables se ejecuten en segundo plano. La ejecución de este comando en archivos ubicados en un directorio temporal no es lo esperado ni un comportamiento normal. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_SuspiciousNohup |
| Detected suspicious use of the useradd command (Detección de uso sospechoso del comando useradd) | Media | Defender-IoT-micro-agent | Se ha detectado el uso sospechoso del comando useradd en el dispositivo. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_SuspiciousUseradd |
| Exposed Docker daemon by TCP socket (Demonio de Docker expuesto por socket TCP) | Media | Defender-IoT-micro-agent | Los registros de la máquina indican que el demonio de Docker (dockerd) expone un socket TCP. De manera predeterminada, la configuración de Docker no usa cifrado ni autenticación cuando un socket TCP está habilitado. La configuración de Docker predeterminada permite el acceso total al demonio de Docker a cualquier persona con acceso al puerto pertinente. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ExposedDocker |
| Failed local login (Inicio de sesión local con error) | Media | Defender-IoT-micro-agent | Se ha detectado un intento de inicio de sesión local con errores en el dispositivo. | Asegúrese de que ninguna persona no autorizada tenga acceso físico al dispositivo. | IoT_FailedLocalLogin |
| Se detectó una descarga de archivos desde un origen malintencionado. | Media | Defender-IoT-micro-agent | Se detectó la descarga de un archivo desde un origen de malware conocido. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_PossibleMalware |
| htaccess file access detected (Se ha detectado un acceso a un archivo htaccess) | Media | Defender-IoT-micro-agent | El análisis de los datos del host ha detectado una posible manipulación de un archivo htaccess. Htaccess es un archivo de configuración eficaz que le permite hacer varios cambios en un servidor web que ejecuta software web Apache, incluida la funcionalidad básica de redireccionamiento, y funciones más avanzadas, como la protección de contraseña básica. A menudo, los actores malintencionados modificarán los archivos htaccess en máquinas en peligro a fin de lograr persistencia. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_AccessingHtaccessFile |
| Known attack tool (Herramienta de ataque conocida) | Media | Defender-IoT-micro-agent | Se ha detectado una herramienta a menudo asociada con usuarios malintencionados que atacan otros equipos de alguna manera. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_KnownAttackTools |
| Local host reconnaissance detected (Detección de reconocimiento de host local) | Media | Defender-IoT-micro-agent | Se detectó la ejecución de un comando que normalmente se asocia con el reconocimiento de bots comunes de Linux. | Revise la línea de comandos sospechosa para confirmar que lo ejecutó un usuario legítimo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_LinuxReconnaissance |
| Mismatch between script interpreter and file extension (Error de coincidencia entre el intérprete del script y la extensión del archivo) | Media | Defender-IoT-micro-agent | Se ha detectado un error de coincidencia entre el intérprete del script y la extensión del archivo de script proporcionado como entrada. Este tipo de discrepancia normalmente se asocia con las ejecuciones de scripts de un atacante. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ScriptInterpreterMismatch |
| Possible backdoor detected (Detección de posible puerta trasera) | Media | Defender-IoT-micro-agent | Se descargó un archivo sospechoso y luego se ejecutó en un host de su suscripción. Este tipo de actividad se asocia normalmente con la instalación de una puerta trasera. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_LinuxBackdoor |
| Se detectó una posible pérdida de datos. | Media | Defender-IoT-micro-agent | Posible condición de salida de datos detectada mediante el análisis de los datos del host. A menudo, los actores malintencionados extraen datos de máquinas en peligro. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_EgressData |
| Privileged container detected (Detección de contenedor con privilegios) | Media | Defender-IoT-micro-agent | Los registros de la máquina indican que se está ejecutando un contenedor de Docker con privilegios. Un contenedor con privilegios tiene acceso total a los recursos del host. Si se pone en peligro, un actor malintencionado puede usar el contenedor con privilegios para acceder a la máquina host. | Si el contenedor no necesita ejecutarse en modo con privilegios, quite los privilegios del contenedor. | IoT_PrivilegedContainer |
| Removal of system logs files detected (Detección de eliminación de archivos de registro del sistema) | Media | Defender-IoT-micro-agent | Se ha detectado la eliminación sospechosa de archivos del registro en el host. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_RemovelOfSystemLogs |
| Space after filename (Espacio luego de nombre de archivo) | Media | Defender-IoT-micro-agent | Se detectó la ejecución de un proceso con una extensión sospechosa mediante el análisis de los datos del host. Las extensiones sospechosas pueden engañar a los usuarios para que piensen que es seguro abrir los archivos y pueden indicar la presencia de malware en el sistema. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ExecuteFileWithTrailingSpace |
| Tools commonly used for malicious credentials access detected (Se han detectado herramientas que se suelen utilizar para el acceso malintencionado a credenciales) | Media | Defender-IoT-micro-agent | Se ha detectado el uso de una herramienta que habitualmente se asocia con intentos malintencionados de acceso a las credenciales. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_CredentialAccessTools |
| Suspicious compilation detected (Detección de compilación sospechosa) | Media | Defender-IoT-micro-agent | Se ha detectado una compilación sospechosa. A menudo, los actores malintencionados compilan vulnerabilidades de seguridad en una máquina en peligro a fin de elevar los privilegios. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_SuspiciousCompilation |
| Suspicious file download followed by file run activity (Descarga de archivo sospechosa seguida de una actividad de ejecución de archivo) | Media | Defender-IoT-micro-agent | El análisis de los datos del host detectó la descarga y ejecución de un archivo en el mismo comando. Los actores malintencionados suelen usar esta técnica para obtener archivos infectados en equipos víctimas. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_DownloadFileThenRun |
| Suspicious IP address communication (Comunicación con dirección IP sospechosa) | Media | Defender-IoT-micro-agent | Se ha detectado una comunicación con una dirección IP sospechosa. | Compruebe si la conexión es legítima. Considere la posibilidad de bloquear la comunicación con la dirección IP sospechosa. | IoT_TiConnection |
| Solicitud de nombre de dominio malintencionado | Media | Defender-IoT-micro-agent | Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada con un ataque que aproveche un método usado por malware conocido. | Desconecte el origen de la red. Realice respuesta a incidentes. | IoT_MaliciousNameQueriesDetection |
Low severity
| Nombre | severity | Origen de datos | Descripción | Pasos de la corrección sugerida | Tipo de alerta |
|---|---|---|---|---|---|
| Bash history cleared (Historial de Bash borrado) | Bajo | Defender-IoT-micro-agent | El registro del historial de Bash se ha borrado. Los actores malintencionados suelen borrar el historial de Bash para ocultar sus propios comandos para que no aparezcan en los registros. | Revise con el usuario que ejecutó el comando la actividad de esta alerta para ver si usted la reconoce como actividad administrativa legítima. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ClearHistoryFile |
Pasos siguientes
- Información general del servicio Defender para IoT